RFC2829 日本語訳
2829 Authentication Methods for LDAP. M. Wahl, H. Alvestrand, J.Hodges, R. Morgan. May 2000. (Format: TXT=33471 bytes) (Obsoleted by RFC4513, RFC4510) (Updated by RFC3377) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group M. Wahl
Request for Comments: 2829 Sun Microsystems, Inc.
Category: Standards Track H. Alvestrand
EDB Maxware
J. Hodges
Oblix, Inc.
R. Morgan
University of Washington
May 2000
コメントを求めるワーキンググループM.ウォール要求をネットワークでつないでください: 2829年のサン・マイクロシステムズ・インクカテゴリ: 標準化過程H.Alvestrand EDB Maxware J.ホッジズOblix Inc.R.モーガンワシントン大学2000年5月
Authentication Methods for LDAP
LDAPのための認証方法
Status of this Memo
このMemoの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(C)インターネット協会(2000)。 All rights reserved。
Abstract
要約
This document specifies particular combinations of security mechanisms which are required and recommended in LDAP [1] implementations.
このドキュメントはLDAP[1]実装で必要であり、推薦されるセキュリティー対策の特定の組み合わせを指定します。
1. Introduction
1. 序論
LDAP version 3 is a powerful access protocol for directories.
LDAPバージョン3はディレクトリのための強力なアクセス・プロトコルです。
It offers means of searching, fetching and manipulating directory content, and ways to access a rich set of security functions.
それはディレクトリ内容を捜して、とって来て、操る手段、および豊かなセットのセキュリティ機能にアクセスする方法を提供します。
In order to function for the best of the Internet, it is vital that these security functions be interoperable; therefore there has to be a minimum subset of security functions that is common to all implementations that claim LDAPv3 conformance.
最善なインターネットに機能するように、これらのセキュリティ機能が共同利用できるのは、重大です。 したがって、セキュリティ機能のLDAPv3が順応であると主張するすべての実装に共通の最小の部分集合がなければなりません。
Basic threats to an LDAP directory service include:
LDAPディレクトリサービスへの基本的な脅威は:
(1) Unauthorized access to data via data-fetching operations,
(1) データを魅惑的な操作を通したデータへの不正アクセス
Wahl, et al. Standards Track [Page 1] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[1ページ]。
(2) Unauthorized access to reusable client authentication
information by monitoring others' access,
(2) モニターしている他のもののアクセスによる再利用できるクライアント認証情報への不正アクセス
(3) Unauthorized access to data by monitoring others' access,
(3) モニターしている他のもののアクセスによるデータへの不正アクセス
(4) Unauthorized modification of data,
(4) データの権限のない変更
(5) Unauthorized modification of configuration,
(5) 構成の権限のない変更
(6) Unauthorized or excessive use of resources (denial of
service), and
そして(6) リソース(サービスの否定)の権限のないか過度の使用。
(7) Spoofing of directory: Tricking a client into believing that
information came from the directory when in fact it did not,
either by modifying data in transit or misdirecting the
client's connection.
(7) ディレクトリのスプーフィング: 来なかったとき、クライアントがその情報を信じているようにだますのがディレクトリから来ました、トランジットにおけるデータを変更するか、またはクライアントの接続に誤った指導することによって。
Threats (1), (4), (5) and (6) are due to hostile clients. Threats (2), (3) and (7) are due to hostile agents on the path between client and server, or posing as a server.
脅威(1)、(4)、(5)、および(6)は敵対的なクライアントのためです。 脅威(2)、(3)、および(7)は、クライアントとサーバの間の経路の敵対的なエージェントのためにあるか、またはサーバのふりをしています。
The LDAP protocol suite can be protected with the following security mechanisms:
以下のセキュリティー対策でLDAPプロトコル群を保護できます:
(1) Client authentication by means of the SASL [2] mechanism
set, possibly backed by the TLS credentials exchange
mechanism,
(1) SASL[2]メカニズムによるクライアント認証はセットして、ことによるとTLSによって支持されて、資格証明書はメカニズムを交換します。
(2) Client authorization by means of access control based on the
requestor's authenticated identity,
(2) 要請者のものに基づくアクセスコントロールによるクライアント承認はアイデンティティを認証しました。
(3) Data integrity protection by means of the TLS protocol or
data-integrity SASL mechanisms,
(3) TLSプロトコルかデータ保全SASLメカニズムによるデータの保全保護
(4) Protection against snooping by means of the TLS protocol or
data-encrypting SASL mechanisms,
TLSプロトコルによって詮索することに対する(4)保護かデータを暗号化するSASLメカニズム
(5) Resource limitation by means of administrative limits on
service controls, and
そして(5) サービスにおける管理限界によるリソース制限が制御される。
(6) Server authentication by means of the TLS protocol or SASL
mechanism.
(6) TLSプロトコルかSASLメカニズムによるサーバー証明。
At the moment, imposition of access controls is done by means outside the scope of the LDAP protocol.
現在、LDAPプロトコルの範囲の外の手段でアクセス制御の賦課をします。
In this document, the term "user" represents any application which is an LDAP client using the directory to retrieve or store information.
本書では、「ユーザ」という用語は、情報を検索するか、または保存するのにディレクトリを使用することでLDAPクライアントであるどんなアプリケーションも表します。
Wahl, et al. Standards Track [Page 2] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[2ページ]。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [3].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTはRFC2119[3]で説明されるように本書では解釈されることであるべきですか?
2. Example deployment scenarios
2. 例の展開シナリオ
The following scenarios are typical for LDAP directories on the Internet, and have different security requirements. (In the following, "sensitive" means data that will cause real damage to the owner if revealed; there may be data that is protected but not sensitive). This is not intended to be a comprehensive list, other scenarios are possible, especially on physically protected networks.
以下のシナリオは、インターネットのLDAPディレクトリに典型的であり、異なったセキュリティ要件を持っています。 (以下では、「敏感」は明らかにされるなら所有者への本当の損害をもたらすデータを意味します; 保護されましたが、機密でないデータがあるかもしれません。) 他のシナリオは特に物理的に保護されたネットワークでこれが総覧であることを意図しないのが可能です。
(1) A read-only directory, containing no sensitive data,
accessible to "anyone", and TCP connection hijacking or IP
spoofing is not a problem. This directory requires no
security functions except administrative service limits.
(1) 極秘データを全く含んでいなくて、「だれも」、およびTCP接続ハイジャックにアクセス可能な書き込み禁止ディレクトリかIPスプーフィングが問題ではありません。 行政サービス限界以外に、このディレクトリはセキュリティ機能を全く必要としません。
(2) A read-only directory containing no sensitive data; read
access is granted based on identity. TCP connection
hijacking is not currently a problem. This scenario requires
a secure authentication function.
(2) 極秘データを全く含まない書き込み禁止ディレクトリ。 読まれて、アクセスはアイデンティティに基づいて承諾されます。 現在、TCP接続ハイジャックは問題ではありません。 このシナリオは安全な認証機能を必要とします。
(3) A read-only directory containing no sensitive data; and the
client needs to ensure that the directory data is
authenticated by the server and not modified while being
returned from the server.
(3) 極秘データを全く含まない書き込み禁止ディレクトリ。 そして、クライアントは、サーバから返している間ディレクトリデータをサーバで認証して、変更しないのを保証する必要があります。
(4) A read-write directory, containing no sensitive data; read
access is available to "anyone", update access to properly
authorized persons. TCP connection hijacking is not
currently a problem. This scenario requires a secure
authentication function.
(4) 極秘データを全く含まない読書して書いているディレクトリ。 読まれて、アクセスは「だれも」、適切に認可された人々へのアップデートアクセスに利用可能です。 現在、TCP接続ハイジャックは問題ではありません。 このシナリオは安全な認証機能を必要とします。
(5) A directory containing sensitive data. This scenario
requires session confidentiality protection AND secure
authentication.
(5) 極秘データを含むディレクトリ。 このシナリオはセッション秘密性保護と安全な認証を必要とします。
3. Authentication and Authorization: Definitions and Concepts
3. 認証と承認: 定義と概念
This section defines basic terms, concepts, and interrelationships regarding authentication, authorization, credentials, and identity. These concepts are used in describing how various security approaches are utilized in client authentication and authorization.
このセクションは認証、承認、資格証明書、およびアイデンティティに関して基本用語、概念、および相互関係を定義します。 これらの概念は様々なセキュリティアプローチがクライアント認証と承認でどう利用されるかを説明する際に使用されます。
Wahl, et al. Standards Track [Page 3] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[3ページ]。
3.1. Access Control Policy
3.1. アクセス制御方針
An access control policy is a set of rules defining the protection of resources, generally in terms of the capabilities of persons or other entities accessing those resources. A common expression of an access control policy is an access control list. Security objects and mechanisms, such as those described here, enable the expression of access control policies and their enforcement. Access control policies are typically expressed in terms of access control attributes as described below.
アクセス制御方針は資源の保護を定義する1セットの規則です、一般に、人々か他の実体がそれらのリソースにアクセスする能力に関して。 アクセス制御方針の一般的な式はアクセスコントロールリストです。 ここで説明されたものなどのセキュリティオブジェクトとメカニズムはアクセス制御方針と彼らの実施の式を可能にします。 アクセス制御方針は以下で説明されるようにアクセス制御属性で通常言い表されます。
3.2. Access Control Factors
3.2. アクセス制御要素
A request, when it is being processed by a server, may be associated with a wide variety of security-related factors (section 4.2 of [1]). The server uses these factors to determine whether and how to process the request. These are called access control factors (ACFs). They might include source IP address, encryption strength, the type of operation being requested, time of day, etc. Some factors may be specific to the request itself, others may be associated with the connection via which the request is transmitted, others (e.g. time of day) may be "environmental".
要求(それはサーバによって処理されている)はさまざまなセキュリティ関連の要素に関連しているかもしれません。(セクション4.2の[1])。 サーバは、処理して要求を処理する方法を決定するのにこれらの要素を使用します。 これらはアクセス制御因子(ACFs)と呼ばれます。 彼らはソースIPアドレス、暗号化の強さ、要求されている操作のタイプ、時刻などを含むかもしれません。 いくつかの要素が要求自体に特定であるかもしれない、他のものはを通した要求が伝えられます、他のもの(例えば、時刻)が「環境であるかもしれない」ということである接続に関連しているかもしれません。
Access control policies are expressed in terms of access control factors. E.g., a request having ACFs i,j,k can perform operation Y on resource Z. The set of ACFs that a server makes available for such expressions is implementation-specific.
アクセス制御方針はアクセス制御因子で言い表されます。 例えば、ACFs iを持っている要求、j、kはリソースZ.に操作Yを実行できます。サーバがそのような式に利用可能にするACFsのセットは実装特有です。
3.3. Authentication, Credentials, Identity
3.3. 認証、資格証明書、アイデンティティ
Authentication credentials are the evidence supplied by one party to another, asserting the identity of the supplying party (e.g. a user) who is attempting to establish an association with the other party (typically a server). Authentication is the process of generating, transmitting, and verifying these credentials and thus the identity they assert. An authentication identity is the name presented in a credential.
認証資格証明書は別のものへの1回のパーティーによって提供された証拠です、相手(通常サーバ)との仲間を設立するのを試みている供給パーティー(例えば、ユーザ)のアイデンティティについて断言して。 認証はこれらの資格証明書とその結果彼らが断言するアイデンティティを生成して、伝えて、確かめるプロセスです。 認証のアイデンティティは資格証明書で提示された名前です。
There are many forms of authentication credentials -- the form used depends upon the particular authentication mechanism negotiated by the parties. For example: X.509 certificates, Kerberos tickets, simple identity and password pairs. Note that an authentication mechanism may constrain the form of authentication identities used with it.
多くのフォームの認証資格証明書があります--使用されるフォームはパーティーによって交渉された特定の認証機構に依存します。 例えば: X.509証明書、ケルベロスチケット、簡単なアイデンティティ、およびパスワード組。 認証機構がそれと共に使用される認証のアイデンティティのフォームを抑制するかもしれないことに注意してください。
Wahl, et al. Standards Track [Page 4] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[4ページ]。
3.4. Authorization Identity
3.4. 承認のアイデンティティ
An authorization identity is one kind of access control factor. It is the name of the user or other entity that requests that operations be performed. Access control policies are often expressed in terms of authorization identities; e.g., entity X can perform operation Y on resource Z.
承認のアイデンティティは1種類のアクセス制御因子です。 それは操作が実行されるよう要求するユーザか他の実体の名前です。 アクセス制御方針は承認のアイデンティティでしばしば言い表されます。 例えば、実体XはリソースZに操作Yを実行できます。
The authorization identity bound to an association is often exactly the same as the authentication identity presented by the client, but it may be different. SASL allows clients to specify an authorization identity distinct from the authentication identity asserted by the client's credentials. This permits agents such as proxy servers to authenticate using their own credentials, yet request the access privileges of the identity for which they are proxying [2]. Also, the form of authentication identity supplied by a service like TLS may not correspond to the authorization identities used to express a server's access control policy, requiring a server-specific mapping to be done. The method by which a server composes and validates an authorization identity from the authentication credentials supplied by a client is implementation-specific.
協会に縛られた承認のアイデンティティはまさにクライアントによって提示された認証のアイデンティティとしばしば同じですが、それは異なっているかもしれません。 SASLはクライアントにクライアントの資格証明書によって断言された認証のアイデンティティと異なった承認のアイデンティティを指定させます。 これはそれら自身の資格証明書を使用することで認証するプロキシサーバなどのエージェントを可能にして、しかし、要求はそれらが[2]をproxyingしているアイデンティティのアクセス権です。 また、TLSが承認のアイデンティティに対応しないかもしれないようにサービスで供給された認証のアイデンティティのフォームは以前はよくサーバのアクセス制御方針を言い表していました、サーバ特有のマッピングが完了しているのが必要であることで。 サーバがクライアントによって供給された認証資格証明書から承認のアイデンティティを構成して、有効にするメソッドは実装特有です。
4. Required security mechanisms
4. 必要なセキュリティー対策
It is clear that allowing any implementation, faced with the above requirements, to pick and choose among the possible alternatives is not a strategy that is likely to lead to interoperability. In the absence of mandates, clients will be written that do not support any security function supported by the server, or worse, support only mechanisms like cleartext passwords that provide clearly inadequate security.
上記の要件に直面していたどんな実装も可能な代替手段の中で慎重に選ぶのを許容するのが、相互運用性に通じそうな戦略でないことは明確です。 命令がないとき、サーバ、より悪いことによってサポートされたどんなセキュリティ機能もサポートしないクライアントが書かれて、サポートは明確に不十分なセキュリティを提供するcleartextパスワードのようにメカニズムにすぎません。
Active intermediary attacks are the most difficult for an attacker to perform, and for an implementation to protect against. Methods that protect only against hostile client and passive eavesdropping attacks are useful in situations where the cost of protection against active intermediary attacks is not justified based on the perceived risk of active intermediary attacks.
実装に、活発な仲介者攻撃は攻撃者が実行して、守るのは最も難しいです。 敵対的なクライアントと受け身の盗聴攻撃だけから守るメソッドは活発な仲介者攻撃に対する保護の費用が活発な仲介者攻撃の知覚リスクに基づいて正当化されないところで状況で役に立ちます。
Given the presence of the Directory, there is a strong desire to see mechanisms where identities take the form of a Distinguished Name and authentication data can be stored in the directory; this means that either this data is useless for faking authentication (like the Unix "/etc/passwd" file format used to be), or its content is never passed across the wire unprotected - that is, it's either updated outside the protocol or it is only updated in sessions well protected against snooping. It is also desirable to allow authentication methods to
ディレクトリの存在を考えて、メカニズムを見る強い願望がアイデンティティがDistinguished Nameの形を取るところにあります、そして、ディレクトリに認証データは保存できます。 これは、認証("/etc/passwd"ファイル形式が以前、Unixであるように)を見せかけるのに、このデータが役に立たないか、または内容がワイヤの向こう側に保護がない状態で決して通過されないことを意味します--プロトコルの外ですなわち、それをアップデートするか、またはセッションのときに詮索に対してよく保護されていた状態でそれをアップデートするだけです。 また、それも認証方法を許容するのにおいて望ましいです。
Wahl, et al. Standards Track [Page 5] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[5ページ]。
carry authorization identities based on existing forms of user identities for backwards compatibility with non-LDAP-based authentication services.
非LDAPベースの認証との互換性が調整する後方にユーザアイデンティティの既存のフォームに基づく承認のアイデンティティを運んでください。
Therefore, the following implementation conformance requirements are in place:
したがって、以下の実装順応要件が適所にあります:
(1) For a read-only, public directory, anonymous authentication,
described in section 5, can be used.
(1) 書き込み禁止、公共のディレクトリのために、セクション5で説明された匿名の認証は使用できます。
(2) Implementations providing password-based authenticated
access MUST support authentication using the DIGEST-MD5 SASL
mechanism [4], as described in section 6.1. This provides
client authentication with protection against passive
eavesdropping attacks, but does not provide protection
against active intermediary attacks.
(2) DIGEST-MD5 SASLメカニズム[4]を使用して、パスワードベースの認証されたアクセスを提供する実装はセクション6.1で説明されるように認証をサポートしなければなりません。 これは、受け身の盗聴攻撃に対する保護をクライアント認証に提供しますが、活発な仲介者攻撃に対して保護を提供しません。
(3) For a directory needing session protection and
authentication, the Start TLS extended operation [5], and
either the simple authentication choice or the SASL EXTERNAL
mechanism, are to be used together. Implementations SHOULD
support authentication with a password as described in
section 6.2, and SHOULD support authentication with a
certificate as described in section 7.1. Together, these
can provide integrity and disclosure protection of
transmitted data, and authentication of client and server,
including protection against active intermediary attacks.
(3) セッション保護と認証を必要とするディレクトリと、Start TLS拡大手術[5]と、簡易認証選択かSASL EXTERNALメカニズムのどちらかには、一緒に使用されることになっていてください。 実装SHOULDはセクション6.2で説明されるようにパスワードで認証をサポートします、そして、SHOULDはセクション7.1で説明されるように証明書による認証をサポートします。 これらは伝えられたデータの保全と公開保護、およびクライアントとサーバの認証を一緒に、提供できます、活発な仲介者攻撃に対する保護を含んでいて。
If TLS is negotiated, the client MUST discard all information about the server fetched prior to the TLS negotiation. In particular, the value of supportedSASLMechanisms MAY be different after TLS has been negotiated (specifically, the EXTERNAL mechanism or the proposed PLAIN mechanism are likely to only be listed after a TLS negotiation has been performed).
TLSが交渉されるなら、クライアントはTLS交渉の前にとって来られたサーバのすべての情報を捨てなければなりません。 TLSが交渉された(TLS交渉が実行された後に明確に、EXTERNALメカニズムか提案されたPLAINメカニズムが記載されるだけでありそうです)後にsupportedSASLMechanismsの値は特に、異なっているかもしれません。
If a SASL security layer is negotiated, the client MUST discard all information about the server fetched prior to SASL. In particular, if the client is configured to support multiple SASL mechanisms, it SHOULD fetch supportedSASLMechanisms both before and after the SASL security layer is negotiated and verify that the value has not changed after the SASL security layer was negotiated. This detects active attacks which remove supported SASL mechanisms from the supportedSASLMechanisms list, and allows the client to ensure that it is using the best mechanism supported by both client and server (additionally, this is a SHOULD to allow for environments where the supported SASL mechanisms list is provided to the client through a different trusted source, e.g. as part of a digitally signed object).
SASLセキュリティ層が交渉されるなら、クライアントはSASLの前でとって来られたサーバのすべての情報を捨てなければなりません。 特に、クライアントは複数のSASLメカニズムをサポートするために構成されて、セキュリティが層にするSASLが、以前、交渉されて、値が変化していないことを確かめたともに後にSASLセキュリティ層が交渉された後にそれはSHOULDフェッチsupportedSASLMechanismsです。 これは、supportedSASLMechanismsリストからサポートしているSASLメカニズムを取り外す活発な攻撃を検出して、クライアントが、クライアントとサーバの両方によってサポートされる中で最も良いメカニズムを使用しているのを保証するのを許容します(さらに、これはサポートしているSASLメカニズムリストが異なった信頼できるソースを通してクライアントに提供される環境を考慮するSHOULDです、例えば、デジタルに署名しているオブジェクトの一部として)。
Wahl, et al. Standards Track [Page 6] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[6ページ]。
5. Anonymous authentication
5. 匿名の認証
Directory operations which modify entries or access protected attributes or entries generally require client authentication. Clients which do not intend to perform any of these operations typically use anonymous authentication.
一般に、エントリーかアクセスを変更するディレクトリ操作が属性を保護したか、またはエントリーはクライアント認証を必要とします。 これらの操作のいずれも実行しないつもりであるクライアントが匿名の認証を通常使用します。
LDAP implementations MUST support anonymous authentication, as defined in section 5.1.
LDAP実装はセクション5.1で定義されるように匿名の認証をサポートしなければなりません。
LDAP implementations MAY support anonymous authentication with TLS, as defined in section 5.2.
LDAP実装はセクション5.2で定義されるようにTLSとの匿名の認証をサポートするかもしれません。
While there MAY be access control restrictions to prevent access to directory entries, an LDAP server SHOULD allow an anonymously-bound client to retrieve the supportedSASLMechanisms attribute of the root DSE.
アクセスがあるかもしれない間、制限を制御して、ディレクトリエントリーへのアクセスを防いでください、SHOULDが根のDSEのsupportedSASLMechanisms属性を匿名で行きのクライアントを検索させるLDAPサーバ。
An LDAP server MAY use other information about the client provided by the lower layers or external means to grant or deny access even to anonymously authenticated clients.
LDAPサーバは下層によって提供されたクライアントの他の情報か匿名で認証されたクライアントさえへのアクセスを承諾するか、または拒絶する外部の手段を使用するかもしれません。
5.1. Anonymous authentication procedure
5.1. 匿名の認証手順
An LDAP client which has not successfully completed a bind operation on a connection is anonymously authenticated.
接続のときに首尾よくひもの操作を完了していないLDAPクライアントは匿名で認証されます。
An LDAP client MAY also specify anonymous authentication in a bind request by using a zero-length OCTET STRING with the simple authentication choice.
また、LDAPクライアントは、簡易認証選択で無の長さのOCTET STRINGを使用することによって、ひもの要求における匿名の認証を指定するかもしれません。
5.2. Anonymous authentication and TLS
5.2. 匿名の認証とTLS
An LDAP client MAY use the Start TLS operation [5] to negotiate the use of TLS security [6]. If the client has not bound beforehand, then until the client uses the EXTERNAL SASL mechanism to negotiate the recognition of the client's certificate, the client is anonymously authenticated.
LDAPクライアントは、TLSセキュリティ[6]の使用を交渉するのにStart TLS操作[5]を使用するかもしれません。 クライアントがあらかじめ付いていないなら、クライアントがクライアントの証明書の認識を交渉するのにEXTERNAL SASLメカニズムを使用するまで、クライアントは匿名で認証されます。
Recommendations on TLS ciphersuites are given in section 10.
セクション10でTLS ciphersuitesにおける推薦を与えます。
An LDAP server which requests that clients provide their certificate during TLS negotiation MAY use a local security policy to determine whether to successfully complete TLS negotiation if the client did not present a certificate which could be validated.
クライアントが有効にすることができた証明書を提示しなかったなら、クライアントがTLS交渉の間彼らの証明書を提供するよう要求するLDAPサーバは、首尾よくTLS交渉を終了するかどうか決定するのにローカルの安全保障政策を使用するかもしれません。
Wahl, et al. Standards Track [Page 7] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[7ページ]。
6. Password-based authentication
6. パスワードベースの認証
LDAP implementations MUST support authentication with a password using the DIGEST-MD5 SASL mechanism for password protection, as defined in section 6.1.
パスワード保護にDIGEST-MD5 SASLメカニズムを使用して、LDAP実装はパスワードで認証をサポートしなければなりません、セクション6.1で定義されるように。
LDAP implementations SHOULD support authentication with the "simple" password choice when the connection is protected against eavesdropping using TLS, as defined in section 6.2.
LDAP実装SHOULDは接続守られるときのTLSを使用することで盗み聞かれる「簡単な」パスワード選択で認証をサポートします、セクション6.2で定義されるように。
6.1. Digest authentication
6.1. ダイジェスト認証
An LDAP client MAY determine whether the server supports this mechanism by performing a search request on the root DSE, requesting the supportedSASLMechanisms attribute, and checking whether the string "DIGEST-MD5" is present as a value of this attribute.
LDAPクライアントが、サーバがsupportedSASLMechanisms属性を要求して、根のDSEに検索要求を実行するのによるこのメカニズム、および照合をサポートするかどうかと決心するかもしれない、ストリング、「ダイジェスト-MD5"はこの属性の値として存在しています」。
In the first stage of authentication, when the client is performing an "initial authentication" as defined in section 2.1 of [4], the client sends a bind request in which the version number is 3, the authentication choice is sasl, the sasl mechanism name is "DIGEST- MD5", and the credentials are absent. The client then waits for a response from the server to this request.
クライアントが[4]のセクション2.1で定義されるように「初期の認証」を実行しているときの認証の第一段階では、クライアントがバージョン番号が3、認証選択がsaslです、存在というsaslメカニズム名ということであるひもの要求に「MD5"を読みこなしてください。そうすれば、資格証明書は欠けること」を送ります。 そして、クライアントはサーバからこの要求までの応答を待ちます。
The server will respond with a bind response in which the resultCode is saslBindInProgress, and the serverSaslCreds field is present. The contents of this field is a string defined by "digest-challenge" in section 2.1.1 of [4]. The server SHOULD include a realm indication and MUST indicate support for UTF-8.
サーバはresultCodeがsaslBindInProgressであるひもの応答で反応するでしょう、そして、serverSaslCreds分野は存在しています。 この分野のコンテンツは[4]についてセクション2.1.1で「ダイジェスト挑戦」で定義されたストリングです。 サーバSHOULDは分野指示を含んで、UTF-8のサポートを示さなければなりません。
The client will send a bind request with a distinct message id, in which the version number is 3, the authentication choice is sasl, the sasl mechanism name is "DIGEST-MD5", and the credentials contain the string defined by "digest-response" in section 2.1.2 of [4]. The serv-type is "ldap".
クライアントはバージョン番号が3である異なったメッセージイドによるひもの要求を送って、認証選択はsaslです、存在というsaslメカニズム名、「ダイジェスト-MD5"、資格証明書が[4]についてセクション2.1.2で「ダイジェスト応答」で定義されたストリングを含んでいる、」 serv-タイプは"ldap"です。
The server will respond with a bind response in which the resultCode is either success, or an error indication. If the authentication is successful and the server does not support subsequent authentication, then the credentials field is absent. If the authentication is successful and the server supports subsequent authentication, then the credentials field contains the string defined by "response-auth" in section 2.1.3 of [4]. Support for subsequent authentication is OPTIONAL in clients and servers.
サーバはresultCodeが成功か誤り表示のどちらかであるひもの応答で反応するでしょう。 認証がうまくいっていて、サーバがその後の認証をサポートしないなら、そして、資格証明書ではありません。分野がある 認証がうまくいっていて、サーバがその後の認証をサポートするなら、資格証明書分野は[4]についてセクション2.1.3で「応答-auth」によって定義されたストリングを含んでいます。 その後の認証のサポートはクライアントとサーバのOPTIONALです。
Wahl, et al. Standards Track [Page 8] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[8ページ]。
6.2. "simple" authentication choice under TLS encryption
6.2. TLS暗号化での「簡単な」認証選択
A user who has a directory entry containing a userPassword attribute MAY authenticate to the directory by performing a simple password bind sequence following the negotiation of a TLS ciphersuite providing connection confidentiality [6].
userPassword属性を含むディレクトリエントリを持っているユーザは秘密性[6]を接続に提供しながらTLS ciphersuiteの交渉に続く働くのによる簡単なパスワードひもの系列をディレクトリに認証するかもしれません。
The client will use the Start TLS operation [5] to negotiate the use of TLS security [6] on the connection to the LDAP server. The client need not have bound to the directory beforehand.
クライアントは、接続のTLSセキュリティ[6]の使用をLDAPサーバと交渉するのにStart TLS操作[5]を使用するでしょう。クライアントはあらかじめ、ディレクトリに付く必要はありませんでした。
For this authentication procedure to be successful, the client and server MUST negotiate a ciphersuite which contains a bulk encryption algorithm of appropriate strength. Recommendations on cipher suites are given in section 10.
この認証手順がうまくいっているために、クライアントとサーバは適切な強さの大量の暗号化アルゴリズムを含むciphersuiteを交渉しなければなりません。 セクション10で暗号スイートにおける推薦を与えます。
Following the successful completion of TLS negotiation, the client MUST send an LDAP bind request with the version number of 3, the name field containing the name of the user's entry, and the "simple" authentication choice, containing a password.
TLS交渉の無事終了に続いて、クライアントは3のバージョン番号、ユーザのエントリーの名前を含む名前欄、および「簡単な」認証選択と共にLDAPひもの要求を送らなければなりません、パスワードを含んでいて。
The server will, for each value of the userPassword attribute in the named user's entry, compare these for case-sensitive equality with the client's presented password. If there is a match, then the server will respond with resultCode success, otherwise the server will respond with resultCode invalidCredentials.
命名されたユーザのエントリーにおける、userPassword属性の各値のために、サーバはクライアントの提示されたパスワードと大文字と小文字を区別する平等のためのこれらを比べるでしょう。 マッチがあると、サーバはresultCode成功で反応するでしょう。さもなければ、サーバはresultCode invalidCredentialsと共に反応するでしょう。
6.3. Other authentication choices with TLS
6.3. TLSとの他の認証選択
It is also possible, following the negotiation of TLS, to perform a SASL authentication which does not involve the exchange of plaintext reusable passwords. In this case the client and server need not negotiate a ciphersuite which provides confidentiality if the only service required is data integrity.
また、それも可能です、平文再使用可能パスワードの交換にかかわらないSASL認証を実行するためにTLSの交渉に続いて。 この場合、クライアントとサーバは必要である唯一のサービスがデータ保全であるなら秘密性を提供するciphersuiteを交渉する必要はありません。
7. Certificate-based authentication
7. 証明書ベースの認証
LDAP implementations SHOULD support authentication via a client certificate in TLS, as defined in section 7.1.
LDAP実装SHOULDはセクション7.1で定義されるようにTLSのクライアント証明書で認証をサポートします。
7.1. Certificate-based authentication with TLS
7.1. TLSとの証明書ベースの認証
A user who has a public/private key pair in which the public key has been signed by a Certification Authority may use this key pair to authenticate to the directory server if the user's certificate is requested by the server. The user's certificate subject field SHOULD be the name of the user's directory entry, and the Certification Authority must be sufficiently trusted by the directory server to
公衆/秘密鍵組が公開鍵がどれへの認証局によって署名されて、ユーザの証明書がサーバ. ユーザの証明書対象分野SHOULDによって要求されるならこのキーがディレクトリサーバに認証するために対にする使用がユーザのディレクトリエントリの名前でありますように、ディレクトリサーバが認証局を十分信じなければならないということであるかでいるユーザ
Wahl, et al. Standards Track [Page 9] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[9ページ]。
have issued the certificate in order that the server can process the certificate. The means by which servers validate certificate paths is outside the scope of this document.
サーバが証明書を処理できるように、証明書を発行しました。 このドキュメントの範囲の外にサーバが証明書経路を有効にする手段があります。
A server MAY support mappings for certificates in which the subject field name is different from the name of the user's directory entry. A server which supports mappings of names MUST be capable of being configured to support certificates for which no mapping is required.
サーバは対象のフィールド名がユーザのディレクトリエントリの名前と異なっている証明書のためのマッピングをサポートするかもしれません。 名前に関するマッピングをサポートするサーバは、写像でないのが必要である証明書を支えるために構成できなければなりません。
The client will use the Start TLS operation [5] to negotiate the use of TLS security [6] on the connection to the LDAP server. The client need not have bound to the directory beforehand.
クライアントは、接続のTLSセキュリティ[6]の使用をLDAPサーバと交渉するのにStart TLS操作[5]を使用するでしょう。クライアントはあらかじめ、ディレクトリに付く必要はありませんでした。
In the TLS negotiation, the server MUST request a certificate. The client will provide its certificate to the server, and MUST perform a private key-based encryption, proving it has the private key associated with the certificate.
TLS交渉では、サーバは証明書を要求しなければなりません。 クライアントは、証明書をサーバに提供して、秘密鍵ベースの暗号化を実行しなければなりません、それには証明書に関連している秘密鍵があると立証して。
As deployments will require protection of sensitive data in transit, the client and server MUST negotiate a ciphersuite which contains a bulk encryption algorithm of appropriate strength. Recommendations of cipher suites are given in section 10.
展開がトランジットにおける、極秘データの保護を必要とするとき、クライアントとサーバは適切な強さの大量の暗号化アルゴリズムを含むciphersuiteを交渉しなければなりません。 セクション10で暗号スイートの推薦を与えます。
The server MUST verify that the client's certificate is valid. The server will normally check that the certificate is issued by a known CA, and that none of the certificates on the client's certificate chain are invalid or revoked. There are several procedures by which the server can perform these checks.
サーバは、クライアントの証明書が有効であることを確かめなければなりません。 通常、サーバはクライアントの証明書チェーンの証明書のいずれも証明書が知られているカリフォルニアによって発行されて、無効であるか取り消されないのをチェックするでしょう。 サーバがこれらのチェックを実行できるいくつかの手順があります。
Following the successful completion of TLS negotiation, the client will send an LDAP bind request with the SASL "EXTERNAL" mechanism.
TLS交渉の無事終了に続いて、クライアントはSASLの「外部」のメカニズムによるLDAPひもの要求を送るでしょう。
8. Other mechanisms
8. 他のメカニズム
The LDAP "simple" authentication choice is not suitable for authentication on the Internet where there is no network or transport layer confidentiality.
LDAPの「簡単な」認証選択はネットワークかトランスポート層秘密性が全くないインターネットで認証に適していません。
As LDAP includes native anonymous and plaintext authentication methods, the "ANONYMOUS" and "PLAIN" SASL mechanisms are not used with LDAP. If an authorization identity of a form different from a DN is requested by the client, a mechanism that protects the password in transit SHOULD be used.
LDAPが匿名と平文の固有の認証方法を含んでいて、「匿名」の、そして、「明瞭な」SASLメカニズムはLDAPと共に使用されません。 DNと異なったフォームの承認のアイデンティティが要求されるなら、クライアント、トランジットSHOULDにおけるパスワードを保護するメカニズムで、使用されてください。
The following SASL-based mechanisms are not considered in this document: KERBEROS_V4, GSSAPI and SKEY.
以下のSASLベースのメカニズムは本書では考えられません: _ケルベロスのV4、GSSAPI、およびSKEY。
Wahl, et al. Standards Track [Page 10] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[10ページ]。
The "EXTERNAL" SASL mechanism can be used to request the LDAP server make use of security credentials exchanged by a lower layer. If a TLS session has not been established between the client and server prior to making the SASL EXTERNAL Bind request and there is no other external source of authentication credentials (e.g. IP-level security [8]), or if, during the process of establishing the TLS session, the server did not request the client's authentication credentials, the SASL EXTERNAL bind MUST fail with a result code of inappropriateAuthentication. Any client authentication and authorization state of the LDAP association is lost, so the LDAP association is in an anonymous state after the failure.
LDAPサーバが下層によって交換されたセキュリティー証明書を利用するよう要求するのに「外部」のSASLメカニズムを使用できます。 TLSセッションがSASL EXTERNAL Bind要求をする前のクライアントとサーバの間とそこで確立されていないなら、他の外部電源は全く認証資格証明書のものではありません。(例えば、TLSセッションを確立するプロセスの間のサーバが、inappropriateAuthenticationの結果コードに応じてクライアントの認証資格証明書、SASL EXTERNALひもが失敗しなければならないよう要求しなかったなら、セキュリティ[8])をIP平らにしてください。 LDAP協会のどんなクライアント認証と承認状態も無くなるので、LDAP協会が失敗の後に匿名の状態にあります。
9. Authorization Identity
9. 承認のアイデンティティ
The authorization identity is carried as part of the SASL credentials field in the LDAP Bind request and response.
承認のアイデンティティはLDAP Bind要求と応答におけるSASL資格証明書分野の一部として運ばれます。
When the "EXTERNAL" mechanism is being negotiated, if the credentials field is present, it contains an authorization identity of the authzId form described below.
「外部」のメカニズムが交渉されているとき、分野が資格証明書であるなら存在している、それは以下で説明されたauthzIdフォームの承認のアイデンティティを含んでいます。
Other mechanisms define the location of the authorization identity in the credentials field.
他のメカニズムは資格証明書分野で承認のアイデンティティの位置を定義します。
The authorization identity is a string in the UTF-8 character set, corresponding to the following ABNF [7]:
承認のアイデンティティは以下のABNF[7]に対応するUTF-8文字集合でストリングです:
; Specific predefined authorization (authz) id schemes are ; defined below -- new schemes may be defined in the future.
; 特定の事前に定義された承認(authz)イド体系はそうです。 --以下で定義されて、新しい体系は将来、定義されるかもしれません。
authzId = dnAuthzId / uAuthzId
authzIdはdnAuthzId / uAuthzIdと等しいです。
; distinguished-name-based authz id. dnAuthzId = "dn:" dn dn = utf8string ; with syntax defined in RFC 2253
; 顕著な名前ベースのauthzイドdnAuthzId=は「以下をdnします」。 dn dnはutf8stringと等しいです。 RFC2253で定義された構文で
; unspecified userid, UTF-8 encoded. uAuthzId = "u:" userid userid = utf8string ; syntax unspecified
; 不特定のユーザID、UTF-8が. uAuthzId=をコード化した、「u:」 ユーザIDユーザIDはutf8stringと等しいです。 構文不特定です。
A utf8string is defined to be the UTF-8 encoding of one or more ISO 10646 characters.
utf8stringは、1ISO10646のキャラクタのUTF-8コード化になるように定義されます。
All servers which support the storage of authentication credentials, such as passwords or certificates, in the directory MUST support the dnAuthzId choice.
ディレクトリのパスワードや証明書などの認証資格証明書のストレージをサポートするすべてのサーバが、dnAuthzIdが選択であるとサポートしなければなりません。
Wahl, et al. Standards Track [Page 11] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[11ページ]。
The uAuthzId choice allows for compatibility with client applications which wish to authenticate to a local directory but do not know their own Distinguished Name or have a directory entry. The format of the string is defined as only a sequence of UTF-8 encoded ISO 10646 characters, and further interpretation is subject to prior agreement between the client and server.
uAuthzId選択はローカルディレクトリに認証しますが、それら自身のDistinguished Nameを知らないことを願っているか、またはディレクトリエントリを持っているクライアントアプリケーションとの互換性を考慮します。 ストリングの形式はUTF-8の系列だけがISOをコード化したと定義されて、10646のキャラクタ、さらなる解釈はクライアントとサーバとの事前同意を受けることがあるということです。
For example, the userid could identify a user of a specific directory service, or be a login name or the local-part of an RFC 822 email address. In general a uAuthzId MUST NOT be assumed to be globally unique.
例えば、ユーザIDは、RFC822Eメールアドレスの特定のディレクトリサービスのユーザを特定するか、ログイン名またはローカルの部分であるかもしれません。 一般に、uAuthzIdがグローバルに特有であると思われてはいけません。
Additional authorization identity schemes MAY be defined in future versions of this document.
追加承認アイデンティティ体系はこのドキュメントの将来のバージョンで定義されるかもしれません。
10. TLS Ciphersuites
10. TLS Ciphersuites
The following ciphersuites defined in [6] MUST NOT be used for confidentiality protection of passwords or data:
パスワードかデータの秘密性保護に[6]で定義された以下のciphersuitesを使用してはいけません:
TLS_NULL_WITH_NULL_NULL
TLS_RSA_WITH_NULL_MD5
TLS_RSA_WITH_NULL_SHA
__ヌル_SHAと_ヌルMD5 TLS_RSA_と_ヌル_ヌルTLS_RSA_とTLS_ヌル_
The following ciphersuites defined in [6] can be cracked easily (less than a week of CPU time on a standard CPU in 1997). The client and server SHOULD carefully consider the value of the password or data being protected before using these ciphersuites:
(1997の標準のCPUのCPU時間の1週間未満)のときに容易に[6]で定義された以下のciphersuitesは割ることができます。 クライアントとサーバSHOULDは慎重にこれらのciphersuitesを使用する前に保護されるパスワードかデータの値を考えます:
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
TLS_DH_anon_EXPORT_WITH_RC4_40_MD5
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA
エクスポートする..輸出..輸出..DSS..輸出..輸出..DSS..輸出..エクスポートする..やがて..エクスポートする..やがて..エクスポートする
The following ciphersuites are vulnerable to man-in-the-middle attacks, and SHOULD NOT be used to protect passwords or sensitive data, unless the network configuration is such that the danger of a man-in-the-middle attack is tolerable:
以下のciphersuitesは介入者攻撃に被害を受け易いです、そして、SHOULD NOTがパスワードか極秘データを保護するのに使用されて、中央の男性の危険が攻撃されるのは、ネットワーク・コンフィギュレーションがそのようなものでないなら許容できます:
Wahl, et al. Standards Track [Page 12] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[12ページ]。
TLS_DH_anon_EXPORT_WITH_RC4_40_MD5
TLS_DH_anon_WITH_RC4_128_MD5
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA
TLS_DH_anon_WITH_DES_CBC_SHA
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_DH_、_やがて、_RC4_40_MD5 TLS_と_がDHであるとエクスポートしてください、__やがて_RC4_128_MD5 TLS_DH_で、やがて、_が_と_をエクスポートする、DES40_CBC_SHA TLS_DH_、やがて、_DES_CBC_SHA TLS_DH_と_、やがて、_3DES_EDE_CBC_SHAと_
A client or server that supports TLS MUST support at least TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA.
少なくともTLS MUSTサポートTLS_DHE_DSS_WITH_3DES_EDE_がCBC_SHAであるとサポートするクライアントかサーバ。
11. SASL service name for LDAP
11. LDAPのためのSASLサービス名
For use with SASL [2], a protocol must specify a service name to be used with various SASL mechanisms, such as GSSAPI. For LDAP, the service name is "ldap", which has been registered with the IANA as a GSSAPI service name.
SASL[2]との使用として、プロトコルは様々なSASLメカニズムと共に使用されるためにサービス名を指定しなければなりません、GSSAPIなどのように。 LDAPに関しては、サービス名はGSSAPIサービス名としてIANAに登録された"ldap"です。
12. Security Considerations
12. セキュリティ問題
Security issues are discussed throughout this memo; the (unsurprising) conclusion is that mandatory security is important, and that session encryption is required when snooping is a problem.
このメモ中で安全保障問題について議論します。 (驚くほどでない)の結論は義務的なセキュリティが重要であり、詮索が問題であるときにそのセッション暗号化が必要であるということです。
Servers are encouraged to prevent modifications by anonymous users. Servers may also wish to minimize denial of service attacks by timing out idle connections, and returning the unwillingToPerform result code rather than performing computationally expensive operations requested by unauthorized clients.
サーバが匿名のユーザによる変更を防ぐよう奨励されます。 また、サーバは外で接続を遊ばせて、権限のないクライアントによって要求された計算上高価な操作を実行するよりむしろunwillingToPerform結果コードを返すタイミングでサービス不能攻撃を最小にしたがっているかもしれません。
A connection on which the client has not performed the Start TLS operation or negotiated a suitable SASL mechanism for connection integrity and encryption services is subject to man-in-the-middle attacks to view and modify information in transit.
クライアントが接続保全と暗号化サービスのためにStart TLS操作を実行もしませんし、適当なSASLメカニズムを交渉もしていない接続はトランジットにおける情報を見て、変更する介入者攻撃を受けることがあります。
Additional security considerations relating to the EXTERNAL mechanism to negotiate TLS can be found in [2], [5] and [6].
[2]、[5]、および[6]でTLSを交渉するためにEXTERNALメカニズムに関連する追加担保問題は見つけることができます。
13. Acknowledgements
13. 承認
This document is a product of the LDAPEXT Working Group of the IETF. The contributions of its members is greatly appreciated.
このドキュメントはIETFのLDAPEXT作業部会の製品です。 メンバーの貢献に大いに感謝します。
Wahl, et al. Standards Track [Page 13] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[13ページ]。
14. Bibliography
14. 図書目録
[1] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory Access
Protocol (v3)", RFC 2251, December 1997.
[1] ウォールとM.とハウズとT.とS.Kille、「ライトウェイト・ディレクトリ・アクセス・プロトコル(v3)」、RFC2251 1997年12月。
[2] Myers, J., "Simple Authentication and Security Layer (SASL)", RFC
2222, October 1997.
[2] マイアーズ、J.、「簡易認証とセキュリティは(SASL)を層にする」RFC2222、1997年10月。
[3] Bradner, S., "Key words for use in RFCs to Indicate Requirement
Levels", BCP 14, RFC 2119, March 1997.
[3] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。
[4] Leach, P. and C. Newman, "Using Digest Authentication as a SASL
Mechanism", RFC 2831, May 2000.
[4] リーチ、P.、およびC.ニューマン(「SASLメカニズムとしてダイジェスト認証を使用します」、RFC2831)は2000がそうするかもしれません。
[5] Hodges, J., Morgan, R. and M. Wahl, "Lightweight Directory Access
Protocol (v3): Extension for Transport Layer Security", RFC 2830,
May 2000.
[5] ホッジズ、J.、モーガン、R.、およびM.ウォール、「軽量のディレクトリアクセスは(v3)について議定書の中で述べます」。 「トランスポート層セキュリティのための拡大」(RFC2830)は2000がそうするかもしれません。
[6] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC
2246, January 1999.
[6] Dierks、T.、およびC.アレン、「TLSは1999年1月にバージョン1インチ、RFC2246について議定書の中で述べます」。
[7] Crocker, D., Ed. and P. Overell, "Augmented BNF for Syntax
Specifications: ABNF", RFC 2234, November 1997.
[7] エドクロッカー、D.、P.Overell、「構文仕様のための増大しているBNF:」 "ABNF"、1997年11月のRFC2234。
[8] Kent, S. and R. Atkinson, "Security Architecture for the Internet
Protocol", RFC 2401, November 1998.
[8] ケントとS.とR.アトキンソン、「インターネットプロトコルのためのセキュリティー体系」、RFC2401、1998年11月。
Wahl, et al. Standards Track [Page 14] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[14ページ]。
15. Authors' Addresses
15. 作者のアドレス
Mark Wahl Sun Microsystems, Inc. 8911 Capital of Texas Hwy #4140 Austin TX 78759 USA
テキサスHwy#4140オースチンテキサス78759米国のマークウォールサン・マイクロシステムズ・インク8911首都
EMail: M.Wahl@innosoft.com
メール: M.Wahl@innosoft.com
Harald Tveit Alvestrand EDB Maxware Pirsenteret N-7462 Trondheim, Norway
ハラルド・Tveit Alvestrand EDB Maxware Pirsenteret N-7462トロンヘイム(ノルウェー)
Phone: +47 73 54 57 97 EMail: Harald@Alvestrand.no
以下に電話をしてください。 +47 73 54 57 97はメールされます: Harald@Alvestrand.no
Jeff Hodges Oblix, Inc. 18922 Forge Drive Cupertino, CA 95014 USA
ジェフホッジズOblix Inc.18922鍛造Driveカリフォルニア95014カルパチーノ(米国)
Phone: +1-408-861-6656 EMail: JHodges@oblix.com
以下に電話をしてください。 +1-408-861-6656 メールしてください: JHodges@oblix.com
RL "Bob" Morgan Computing and Communications University of Washington Seattle, WA 98105 USA
RL「ボブ」モーガンComputingとコミュニケーションワシントン大学ワシントン98105シアトル(米国)
Phone: +1-206-221-3307 EMail: rlmorgan@washington.edu
以下に電話をしてください。 +1-206-221-3307 メールしてください: rlmorgan@washington.edu
Wahl, et al. Standards Track [Page 15] RFC 2829 Authentication Methods for LDAP May 2000
ウォール、他 規格は2000年5月にLDAPのためにRFC2829認証方法を追跡します[15ページ]。
16. Full Copyright Statement
16. 完全な著作権宣言文
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(C)インターネット協会(2000)。 All rights reserved。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上に承諾された限られた許容は、永久であり、インターネット協会、後継者または案配によって取り消されないでしょう。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Wahl, et al. Standards Track [Page 16]
ウォール、他 標準化過程[16ページ]
一覧
スポンサーリンク
